projectwise security - Bentley Communities
Contents
1. Folder Properties SU Bentley Civil UO GEOPAK Documents 7 Huntsville Documents H InRoads Training Doc Q Internal Training 7 Operations amp Procedur Uy Project Managers No Document Security View Audit Trail Workspace Statistics Wondlow amp State Project Folder Security 6 07 Projects Ur Technical Bentley Offshore Documents E Digital InterPlot Design i LO GEOPAK da In Progra Plant Proposals 7 InRoads da Review Services LO MicroStation da Approved LO ProjectiWise LY SELECT Server SE Test Data pp Properties Tes EE 60 LEY Dgn LO Attribute Test LE DFT Test H H Dan LEY TB H 0 Bentley Civil 08M 7 Bentley Comms 0 Bentley Geospatial LO Bentley Plant Ly Bentley Transportation E NAOU_Plant_PS Te nu E Notar que en la imagen siguiente se pueden ver tres tipo diferentes de seguridad Real Folder o Workflow La opci n Folder muestra qu Permisos de Objeto est n activos y si son heredados de la carpeta anterior environment o datasource o si el objeto tiene sus propios permisos La opci n Workflow muestra qu Permisos de Flujo de Trabajo est n activos para los objetos en el Flujo de Trabajo y Etapa actual Tambi n muestra si el objeto tiene sus propios Permisos de Flujo de Trabajo o si esos permisos se heredan desde la carpeta anterior que tiene una definici n de modificaci n de Flujo de Trabajo aplicado o de la definici n global en el DataSource La opci n2. configurar el acceso externo Extranet Para poder hacer esto se deben tener algunas cosas en consideraci n Se estar trabajando con usuarios de otras compa as clientes o usuarios de la compa a pero que son externos Lo mejor ser crear grupos en el Active Directory para cada uno de estos usuarios y sincronizarlo con ProjectWise Si no es posible entonces se deben crear usuarios y grupos l gicos dentro de ProjectWise Trabajando en la Extranet Una vez que se tiene ProjectWise instalado y corriendo internamente y se desee tener acceso desde afuera se deber configurar la infraestructura de red para que lo soporte La mejor manera es aprovechar la Extranet de la compa a Aqu se puede colocar el ProjectWise Gateway Server en DMZ y ProjectWise Web Server para acceso externo El ProjectWise Gateway actuar como proxy para permitir a los usuarios acceder al ProjectWise Integration Server El ProjectWise Gateway pasa informaci n del cliente externo al Gateway Server y al ProjectWise Integration Server El ProjectWise Gateway Server est en el DMZ y deber a tener una IP p blica junto con un Fully Qualified Domain Name FQDN Se recomienda utilizar FQDN incluso cuando es posible utilizar el IP externo La raz n por la cual se recomienda utilizar FODN es porque es un DNS est tico con la adopci n de direcciones IP IPV6 no es f cil recordar el IP e 8 200 Lado coJas rodeos NG Una vez que ProjectWise Gateway Server Service y Web
3. Inherited from C Full control EF Administrators C Change pemissions BENTLEY Audrius Pu C Creste BENTLEY Dwayne M O Delete BENTLEY Kevin Live Read F Civil Account Managers C Write Y Civil Project Managers File Read Plant AMs File Write No access Service m Dado que las otras Etapas no han sido modificadas si cambiamos a otra etapa Approved por ejemplo se ver que los permisos de acceso para esa etapa seguir diciendo inherited from global permissions workflow Design state Approved Si el Administrador modifica los permisos del Flujo de Trabajo aplicado a la carpeta 60 Folder a nivel del Flujo de Trabajo no s lo a nivel de Etapa entonces todas las Etapas dentro del Flujo de Trabajo que no tengan definidos permisos propios heredar n desde la definici n de Flujo de Trabajo en la carpeta 60 Se debe entender que la seguridad de Flujo de Trabajo que se aplica a una carpeta y luego se modifica persistir con esa carpeta incluso si se remueve el Flujo de Trabajo de dicha carpeta Por ejemplo el Administrador abre las propiedades de la carpeta 60 selecciona el tab Workflow 8 State y selecciona lt none gt para el Flujo de Trabajo se ha removido el Flujo de Trabajo Si se examina la Seguridad de Documento en la carpeta 60 ahora reportar los resultados de Seguridad de Objeto por que hay Flujo de Trabajo definido Sin embargo la sub carpeta Raw segu
4. Real Workflow amp Folder muestra el resultado de seguridad de Flujo de Trabajo Etapa y Objeto combinadas reflejando cu l est actualmente en efecto sobre los objetos los Permisos de Acceso no se pueden modificar si el Type est en Real Cuando se aplica un Flujo de Trabajo a una carpeta es com n ver usuarios y grupos en la lista de tres fuentes diferentes 1 Usuarios Grupos Listas que est n definidas dentro de los ajustes de seguridad Flujo de Trabajo Etapa pero Flujo de Trabajo generalmente prevalece sobre seguridad de Objeto excepto cuando se define No Access 1 Usuarios Grupos Listas que tienen definido No Access definido dentro de la Seguridad de Objeto porque No Access siempre prevalece sobre cualquier permiso 2 Usuarios que tienen Use Access Control apagado PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY En este ejemplo los permisos de Documento de la carpeta 60 muestra que el grupo de Administradores tienen Control Total sobre los objetos en la Etapa In Progress State del Flujo de Trabajo Design a trav s de permisos definidos a nivel del Flujo de Trabajo Design Dado que el ajuste en la Etapa est definido para la primer Etapa In Progress que hereda los permisos desde el Flujo de Trabajo Design porque no tienen sus propios permisos se ver n los permisos listados como inherited from global permissions workflow Design lt Default gt A inkoads Iraning L
5. SECURITY 4 0 Conceptos de Permisos de Accesos de ProjectWise Las carpetas y documentos pueden ser accedidos por cualquier usuario con una cuenta activa en datasource o se los puede hacer exclusivos a ciertos usuarios a trav s de access control control de acceso El Control de Acceso determina qu usuarios pueden ver qu documentos y carpetas y qu se les permite hacer a esos usuarios con los documentos y las carpetas La Seguridad en ProjectWise es exclusiva Cuando se crea un datasource no hay configuraci n de control de acceso definida por lo tanto todos los usuarios creados tendr n acceso a todas las carpetas y documentos en el datasource de la siguiente forma El grupo de Administradores tendr Control Total el resto de los usuarios tendr n acceso de Lectura Escritura pero no tendr n la posibilidad de Modificar los Permisos S lo cuando a algunos usuarios se les da expl citamente permisos de acceso a ciertos tems que los otros usuarios quedar n excluidos de acceder a esos mismo tems La Seguridad de puede aplicar en varios lugares En ProjectWise Administrator la seguridad de puede aplicar globalmente al datasource y o a entornos flujos de trabajo y etapas espec ficas En ProjectWise Explorer se puede aplicar seguridad a carpetas y documentos espec ficos Los varios niveles de permisos de acceso permiten controlar el acceso en forma global a trav s de etapas o carpetas o estrictamente asignando permisos a cada carpe
6. Server User Interface Administrative kal Network Ey Document arar Document list 07 Folder 251 Message folders 157 Custom folders Global user lists L Document Creation Conflicts y Audit Trail Managed Workspace Profiles Este ajuste s lo se debe apagar para un selecto n mero de cuentas como para cuentas utilizadas para servicios de indexaci n de documentos para asegurar la posibilidad de acceder a todos los documentos Adicionalmente puede ser de gran utilidad cuando un administrador se proh be accidentalmente de acceder a carpetas y o documentos Adem s todo usuario que tenga este ajuste apagado aparecer en Tipo de Seguridad Real con Control Total y una nota que indica que se le conceden permisos de acceso ya que el usuario no est utilizando control de acceso PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Folder Properties Workclow 8 State _ O TE Real Workflow 8 Folder Wonddlow Bentley Offshore Documents State Default gt Inherited from BENTLEY Audrus Pundze Create BENTLEYvDwayne Mitchel Delete BENTLEY Kevin Livelsber Read BENTLEY Tom Atkinson Write 6 Sevice File Read File Write C No access Propiedad Un usuario que crea un documentos ser el Propietario de dicho documento Un usuario que crea una carpeta ser el Propietario de la carpeta y de los documentos dentro de la carpeta Por lo tanto esencialmente un doc
7. a Workflow is later modified to have all security settings removed then the access rights defined at the Workflow level will be reapplied through inheritance Seguridad Global de Flujo de Trabajo Seguridad de Flujo de Trabajo Modificada y Herencia La Seguridad de Flujo de Trabajo se puede definir a nivel del DataSource en ProjectWise Administrator cuando es creado esto se puede llamar Seguridad Global de Flujo de Trabajo La Seguridad de Flujo de Trabajo se puede modificar una vez que se haya asignado a una carpeta para controlar los permisos de acceso a diferentes grupos de usuarios esto se puede llamar Seguridad de Flujo de Trabajo Modificada Cuando se aplica Flujo de Trabajo a una carpeta los ajustes de Seguridad de Flujo de Trabajo se heredar n autom ticamente de la definici n de Flujo de Trabajo mas cercana Esto puede ser de una carpeta superior en la jerarqu a o del Datasource en si mismo Se examinar esto mas adelante Seguridad Global de Flujo de Trabajo Digamos que el administrador define permisos de acceso para las carpetas y documentos en cada Etapa de un Flujo de Trabajo en ProjectWise Cuando se aplica un Flujo de Trabajo a una carpeta los ajustes de seguridad se aplican inmediatamente a la carpeta y a los documentos por lo tanto ahora est n utilizado Seguridad de Flujo de Trabajo Esto define un modelo de seguridad default o Seguridad Global de Flujo de Trabajo donde los permisos del Flujo de Trabajo se
8. de Seguridad del Objeto Herencia de la Seguridad del Objeto Las Carpetas pueden heredar la seguridad desde otras carpetas que est n mas arriba en la jerarqu a o pueden tener definida expl citamente su propia seguridad Cuando un Administrador de ProjectWise aplica cambio a la seguridad de una carpeta el o ella tambi n puede cambiar la seguridad de las sub carpetas que existen debajo de la misma Cuando se realizan modificaciones a la seguridad de una carpeta que tiene sub carpetas se presenta un cuadro de di logos que permite al usuario aplicar los cambio s lo a dicha carpeta o a todas las sub carpetas Confirm Folder Security Changes You have chosen to change the folder s permissions Do you want to apply this change to this folder only or do you want to apply it to subfolders also Applying change for subfolders will remove their current permissions Apply changes to this folder only subfolders may still inherit them O Apply changes to this folder and subfolders Cancel Si una carpeta tiene sub carpetas seleccionar Apply changes to this folder only afecta la seguridad de la carpeta seleccionada y la de sus sub carpetas de la siguiente forma Las sub carpetas que hereden la seguridad de la carpeta modificada no tienen ninguna definici n de seguridad ahora reflejar n los cambios realizados o Las sub carpetas que tienen su propia seguridad no se ver n afectadas por estos cambios Diferentes
9. 4 2 WORKFLOW SECURITY La l gica se a dividido en dos conjuntos uno para el nivel que se refiere a los Ajustes de Usuario para el Control de Acceso y otro que explica el proceso de determinar los derechos de acceso una vez que se establecieron dichas condiciones Se presenta esta l gica para ayudar a los Administradores de ProjectWise a comprender que se debe considerar cuando se definen los derechos de acceso no necesariamente c mo ProjectWise procesa estos ajustes desde una perspectiva inform tica First we must consider the User Settings Si el ajuste Use Access Control est apagado Entonces El usuario tiene Control Total Si no El usuario tiene Permisos definidos en Ajustes de Usuario Carpeta amp Documento A continuaci n se examinar la Seguridad de Objeto para ver si defini No Access para el usuario si es as el usuario tendr No Access Se examinar la jerarqu a para determinar d nde est la lista de control de acceso mas cercana Aqu es de donde vendr n los permisos y se pueden definir expl citamente en el objeto o en alg n lugar anterior Una vez establecido ProjectWise buscar si se defini No Access para el Usuario luego en cualquier Grupo donde est el usuario luego en las Listas de Usuarios luego en Grupo Everyone La l gica ser a as Si el usuario est mencionado en la lista de acceso Entonces Si se defini No Access para dicho usuario Entonces El usuario t
10. 6 Mr Atkinson se uni a Bentley en el 2004 y ha sido responsable por el desarrollo de dise os de arquitectura de sistemas especificaciones funcionales personalizadas planes de implementaci n y planes de actualizaci n para las soluciones de ProjectWise en los Departamentos de Transporte del Estado y Empresas de Consultor a de Ingenier a Civil en Norte Am rica Kevin Boland TBD Audrius Zimnickas TBD PROJECTWISE SECURITY SECTION 3 0 DOCUMENT OVERVIEW 3 0 Resumen del Documento Prop sito Este documento explica c mo trabajan los Permisos de Acceso dentro de ProjectWise y los varios m todos en que se pueden aplicar a carpetas y documentos Se proveen ejemplos de Permisos de Acceso pero no se hace ning n intento en definir c mo una organizaci n deber a modelar sus Derechos de Acceso espec ficos Destinado A Este documento est destinado a Administradores de ProjectWise que tengan un conocimiento b sico de los siguientes componentes de ProjectWise e Datasources e Users e Environments e User Groups e Folders and Documents e User List Derechos de Acceso Definici n La forma en que ProjectWise impone la seguridad dentro de un datasource controlando qu usuarios pueden ver qu documentos y carpetas y lo que esos usuarios pueden realizar con esos documentos y esas carpetas Los t rminos Derechos de Acceso y Seguridad se utilizaran indistintamente a lo largo de este documento PROJECTWISE SECURITY SECTION 4 2 WORKFLOW
11. Server est n instalados en m quinas en el DMZ se debe realizar la conexi n hasta el ProjectWise Integration Server Service Si hay firewall entre los servidores se deber abrir el puerto bi direccional 5800 entre los servidores Para abrir el ProjectWise Explorer se deber abrir el puerto 5800 bi direccional externamente Ahora los clientes externos s lo podr n ver el ProjectWise Gateway Server en el DMZ ProjectWise Web Server utiliza los puertos 80 si se utiliza http o 443 si se utiliza SSL Se recomienda utilizar SSL y el puerto 443 El cliente se conectar al ProjectWise Gateway Server Service utilizando el FADN en Network Control Utility en ProjectWise Explorer Se pueden ejecutar tanto ProjectWise Explorer como ProjectWise Web para que usen SSL Si se define esto para ProjectWise Explorer se debe ejecutar ProjectWise en Secure mode y si se utiliza ProjectWise Web Server configurar IIS para que utilice una conexi n segura para toda llamada realizada utilizando el protocolo https para tr fico web La comunicaci n punto a punto se encripta cuando se ejecuta ProjectWise en modo seguro y Bentley GREENBOOK Sustaining Infrastructure Copyright O 2010 Bentley Systems Incorporated PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY 45 TBD TBD 46 TBD TBD y Bentley GREENBOOK Sustaining Infrastructure Copyright O 2010 Bentley Systems Incorporated PROJECTWISE SECURITY SECTION 6 0 TBD 5 0 Materiales Relacionado
12. Use up to date local copy on check out Use up to date local copy on copy out C Use captive environment C Modify shareable flag e e Document list ka ajajajaja A pesar que el ajuste Modify shareable flag no se muestra en la imagen como un permiso de los documentos esencialmente es porque otorga al usuario los permisos para habilitar o deshabilitar el ajuste shareable en el cuadro de ajustes Properties para cualquier documento V8 DGN en ProjectWise Explorer El ajuste de Datasource Enable shareable documents debe estar habilitado antes de poder habilitar este ajuste de usuario Por otra parte si el ajuste de usuario Allow user to change document settings est prendido entonces estos ajustes se presentar n al usuario y ste tendr la habilidad de modificarlos Controles de Carpeta Ajustes de Usuario Igual que los permisos de documentos controlan qu funcionalidades el usuario tiene permiso de ejecutar en los documentos Los permisos de Carpetas controlan si el usuario puede o no Crear Modificar Borrar y Cambiar Flujo de Trabajo o Etapa de una carpeta PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Tom Atkinson Properties E Managed Workspace Personal Workspace Member Of User settings Working directory a General User Interface la Administrative E Network Hl Document arar Document list Er Allow user to change folder settings Create Modify 4 Folder Delete Permissions Chan
13. a un documentos por seguridad del Objeto o por seguridad del Flujo de Trabajo pero ambos se pueden aplicar tanto a carpetas como a documentos Sin importar la seguridad aplicada a las carpetas y documentos si el usuario no tiene el permiso espec fico en su User Settings no tendr permisos para realizar la operaci n Veamos algunos de los ajustes PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Controles de Documentos User Settings Dentro de las propiedades de cada usuario est n las opciones que controlan una gran variedad de funciones de ProjectWise En el tab settings hay grupos de configuraciones que controlas los permisos que los usuarios tienen con respecto a documentos y carpetas Para que los usuarios puedan Crear Modificar Borrar Liberar Definir Estado Final Remover Estado Final Crear Versiones o Cambiar Etapas de los documentos se les debe otorgar el permiso dentro de sus user settings Sin estos permisos b sicos el usuario no podr realizar estas funciones aunque tenga los derechos sobre los objetos lo permitan al Tom Atkinson Properties Managed Workspace Personal Workspace General Settings MemberOf Audit Trail Spatial User settings Allow user to change document settings A Modify Delete Free Set final status tt sisa Remove final status Create Version Change State Use local Recycle Bin on free Leave local copy on check in Leave local copy on free
14. agregar datos Para descargar el original en ingl s de este documento por favor dirigirse al siguiente link http communities bentley com products projectwise content_management w wiki 5448 aspx PROJECTWISE SECURITY TABLE OF CONTENTS Tabla de Contenidos Tabla de Contenidos 1 0 Introducci n a GREENBOOK 2 0 Acerca del los Autor es 3 0 Resumen del Documento 4 0 Conceptos de Permisos de Accesos de ProjectWise 4 1 Seguridad del Objeto 4 2 Seguridad de Flujo de Trabajo 4 3 Autenticaci n y Encriptado Preguntas Frecuentes sobre Autenticaci n y Encriptado de ProjectWise Qu tipo de encriptado se utiliza cuando un usuario se loguea a la interface Web sin utilizar SSL Qu tipo de encriptado se utiliza cuando un usuario se loguea a la interface Web utilizando SSL Qu tipo de encriptado se utiliza cuando un usuario se loguea a un datasource en ProjectWise Explorer utilizando una cuenta de dominio de Windows Qu tipo de encriptado se utiliza cuando un usuario se loguea a un datasource de ProjectWise Explorer utilizando una cuenta l gica de ProjectWise 14 16 33 34 34 34 35 35 Qu tipo de encriptado se utiliza cuando un usuario se logue utilizando SSL en el ProjectWise Application Server donde est n publicados los datasources Ejecutando ProjectWise en modo seguro Puedo habilitar SSL con ProjectWise Explorer Se debe modificar la configuraci n de los puertos Se encripta el archivo cuando se tran
15. and subfolders Cuando se selecciona dicha opci n se remover n todos los ajustes de seguridad de todas las sub carpetas y ahora heredar n la seguridad de la carpeta Folder A 4 2 Seguridad de Flujo de Trabajo A medida que los proyectos progresan en su ciclo de vida es com n que se agreguen nuevos usuarios a los equipos y tambi n que algunos usuarios se remuevan de los equipos Por esta raz n la seguridad debe ser flexible y se debe ajustar en hitos espec ficos Esta secci n examinar c mo los ajustes de Seguridad de Flujos de Trabajo pueden hacer que sea sencillo modificar la seguridad en las carpetas o documentos cuando alcanzan ciertos hitos El siguiente diagrama representa un simple flujo de trabajo de tres etapas Si se va a introducir un flujo de trabajo a un equipo de trabajo probablemente ser un nuevo proceso para que ellos sigan y por lo tanto cuanto mas simple el flujo de trabajo mayor posibilidad de xito Los Flujos de Trabajo con muchas etapas pueden confundir a la gente a tal punto que no sepan a qu etapa deber a pertenecer un documento State name State description SE In Progress In Progress E Review Review A Issued Issued PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Dentro de ProjectWise Explorer los usuarios pueden ver qu documentos est n en qu etapa a trav s del tab Workflow State de las Propiedades de Carpeta como se muestra a continuaci n Folder Properties Document Se
16. asegurarse que diga none En este punto se deben seleccionar todos los grupos y removerlos de la lista Cuando se cliquee el bot n Apply y se acepte el cuadro de di logos Confirm Folder Security Changes el administrador observar que la lista de usuarios se repoblar con la definici n de seguridad global definida en ProjectWise Administrator a nivel de Datasource La sub carpeta Raw dejar de heredar los permisos de Flujo de Trabajo desde la careta 60 folder y ahora los heredar desde el datasource Examinaremos c mo diferentes Seguridades de Flujo de Trabajo aplican a objetos actualmente el las Etapas de un Flujo de Trabajo espec fico Access controls defined at various levels Objects in specified states inherit permissions from S Started S Almost Finished W Design ACL Design lt Default gt 7777777777777777 S Started ACL Desian Started fF S Almost ACL Design Almost F f S Finished 1 fp a Folder A 7777 TT TT TT TT TT TT TT TT TT T TT TT TIT TT TT TT TT TT TATTOO lad Folder 2 ACL Design Finished Folder C 7777777777777777 r Folder p LACL Design lt Default gt f m e ija Folder E ACL Design Started 1 gi Folder F ACL Design Almost Folder G 77777777777777777777777777 PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY En la figura de arriba se tienen un fluj
17. curity View Audit Trail Workspace Workflow amp State ProjectiFolder Security Plant Proposals Plant Proposals G In Progress W 13000 BPR PR 01 ProjectWise XM Proposal doc W 13000 8PR TR 01 Conference Call Notes doc E G 0 ProjectWise XM Estimate v2 2 pdf G O ProjectWise XM Estimate v2 2 xls E a Review 2 Tucker Young Jackson Tull PPQ 0306 pdf F Tucker Young Jackson Tull ProjectWise Price XM pd Tucker Young Jackson Tull ProjectWise Price XM xlz a Issued Seguridad de Flujo de Trabajo Los Permisos de Acceso se pueden aplicar a cada Etapa dentro de un Flujo de Trabajo para tanto Carpetas como Documentos Si una Carpeta o Documento tienen permisos de acceso asignados tanto por Seguridad de Objeto y por Seguridad de Flujo de Trabajo entonces prevalecer la Seguridad de Flujo de Trabajo excepto en el caso que la Seguridad de Objeto resulte en No Access Ejemplo 1 o La Seguridad de Objeto define S lo Lectura sobre documento A para el Grupo A o La Seguridad sobre la Etapa del Flujo de Trabajo define Lectura Escritura sobre documento A para el Grupo A Resultado El Grupo A tendr permiso de Lectura Escritura sobre el documento A gana el Flujo de Trabajo Ejemplo 2 o La Seguridad de Objeto define Lectura Escritura sobre el documento A para el Grupo A La Seguridad sobre la Etapa del Flujo de Trabajo define S lo Escritura sobre el documento A para el Grupo A Resultado El Grupo A tendr permiso de S l
18. donde est n publicados los datasources Ejecutando ProjectWise en modo seguro Utiliza encriptado de 128 bit del servidor de certificados en la red Las llaves son validadas por el servidor que ejecuta el servidor de certificados Sigue utilizando el puerto 5800 Me referir a esto como Conexi n Segura de ProjectWise cuando no se est hablando de la interface Web utilizando HTTPS SSL es un standard muy conocido y nuestra conexi n no est basada en el mismo Puedo habilitar SSL con ProjectWise Explorer Se debe modificar la configuraci n de los puertos Utilizando ProjectWise en modo seguro encripta los datos desde el ProjectWise Explorer al servidor de aplicaciones La configuraci n se realiza en el servidor Las llaves de encriptado son manejadas por el servidor de certificados Se encripta el archivo cuando se transfiere por el cable utilizando ProjectWise S lo cuando se utiliza ProjectWise con conexi n segura Qu tipo de comunicaci n segura se realiza cuando se comunica con la base de datos ProjectWise se comunica con la base de datos a trav s de ODBC ProjectWise utilizar el tipo de conexi n que se haya configurado no importa cu l sea Por ejemplo MS SQL Server pasando el username y password como texto simple Se puede utilizar el Server Network Utility para habilitar el encriptado SSL sobre todas las librer a de red habilitadas SQL Server 2000 puede utilizar SSL para encriptar todos los datos que se trans
19. e chosen to change the folder s permissions Do you want to apply this change to this folder only or do you want to apply it to subfolders also Applying change for subfolders will remove their current permissions Apply changes to this folder only subfolders may still inherit them O Apply changes to this folder and subfolders Tener en cuenta que los permisos no se heredar n mas pero ahora est n definido en la etapa In Progress como est definido en esta carpeta Folder Properties Statistics Document Security Security Type Wordlow Workflow Design State In Progress Inherited from mone this folder in wordlow Design state ln Progress Name D Full control Administrators O Change permissions E Civil Account Managers C Create Civil Project Managers C Delete Plant Management head D Write D File Write C No access Si se va a la sub carpeta Raw y se revisa la seguridad del Documento se ver que est heredada de la carpeta 60 Esto es porque ambas carpetas tienen aplicado el mismo Flujo de Trabajo y la carpeta superior 60 tiene algunas definiciones expl citas PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Folder Properties o e e rr Document Security E Audit Trail Workspace Security Type Real Worddlow 4 Folder Workflow Design State In Progress
20. e niega para objetos en esta etapa Entonces Sino PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY El usuario tiene acceso igual al calculado para Acceso a Workflow El usuario tiene acceso igual al calculado para Acceso a Objeto PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Tambi n es importante cambiar el pensamiento de definici n de acceso a l gica de c lculo de acceso cuando se trata de entender c mo funciona el control de acceso Durante el tiempo de acceso un objeto est participando en una etapa de un solo flujo de trabajo o no est participando de ning n flujo de trabajo Si el objeto est participando en una etapa entonces ning n otro flujo de trabajo o etapa tendr n influencia en el acceso al objeto El examen de jerarqu a se realiza examinando los nodos de jerarqu a escalando hacia arriba En cada paso se realiza una resoluci n importante As sea que el nodo tenga controles de acceso aplicables o no Si tiene el escalado termina en el siguiente escal n si no contin a Si un nodo s lo tiene entradas no aplicables de Access Control List ACL se lo considerar como que no tiene ning n ACL Por ejemplo si una carpeta s lo tiene entradas espec ficas a seguridad de Objeto ese nodo se considerar que no tiene ACL cuando se realicen ex menes espec ficos a flujo de trabajo Ser a til pensar que el c digo de determinaci n de Seguridad de Objeto tiene anteojos especiales y s lo
21. ers File Read E Civil Consultants File Write E Civil Project Managers C No access F Plant AMs Me ma Ka ml Seguridad Modificada de Flujos de Trabajo Supongamos que un Administrador determina que los permisos de objeto en el flujo de trabajo Design se deben alterar para un objeto en particular El Flujo de Trabajo est definido en m ltiples carpetas a trav s de todo el sistema para por lo tanto no se desean cambio en otros proyectos o a nivel global en el Datasource Hay dos opciones 1 Crear un nuevo flujo de trabajo y definir los permisos como se requieren o 2 Aplicar el flujo de trabajo Design a la carpeta y modificar los permisos all mismo Esta secci n se enfoca en los efecto de la opci n 2 OO Test Data El Flujo de Trabajo Design Workflow est DA Properties Test aplicado en la carpeta 60 pero ahora E EY 60 tambi n est aplicado en la sub carpeta a Dan llamada Raw Lor EN En la carpeta 60 se modificar n los permisos en la Etapa In Progress State para que el grupo Plant Management tenga permisos de Lectura Escritura en lugar de No Access Cuando se aplique este cambio se le presentar al usuario el cuadro de di logos Confirm Folder Security Changes como explicado anteriormente en la secci n Seguridad de Objeto Se seleccionar Apply changes to this folder only option PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Confirm Folder Security Changes You hav
22. gador y el servidor Los navegadores y los servidores generalmente negocian la mas fuerte sesi n soportada mutuamente Esto quiere decir que si el navegador del usuario y la Web soportan sesiones SSL de 12 bit se establecer una sesi n de 128 bit Si el navegador s lo soporta y Bentley GREENBOOK Sustaining Infrastructure Copyright O 2010 Bentley Systems Incorporated PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY sesiones SSL de 40 bit se establecer una sesi n de 40 bit inclusive si el servidor Web soporta sesiones de 128 bit Qu tipo de encriptado se utiliza cuando un usuario se loguea a un datasource en ProjectWise Explorer utilizando una cuenta de dominio de Windows Utiliza m todo de autenticaci n y encriptado NTLM Tambi n soporta autenticaci n Kerberos pero ni NTLM ni Kerberos se utilizan para encriptado Sin la activaci n por separado del encriptado SSL entre el cliente y el servidor s lo algunas partes mas sensitivas de algunos mensajes se encriptan por el algoritmo RC4 utilizando llaves de 128 bit Esto se realiza independientemente del protocolo de autenticaci n Qu tipo de encriptado se utiliza cuando un usuario se loguea a un datasource de ProjectWise Explorer utilizando una cuenta l gica de ProjectWise Utiliza el algoritmo RC4 de encriptado utilizando llaves de 128 bit Qu tipo de encriptado se utiliza cuando un usuario se logue utilizando SSL en el ProjectWise Application Server
23. ge workdlow state Hide folder hierarchy in user interface D Modify shareable flag 251 Message folders 15 Custom folders E Global user lists A pesar que el ajuste Modify shareable flag no se muestra en la imagen como un permiso de las carpetas esencialmente es porque otorga al usuario los permisos para habilitar o deshabilitar el ajuste shareable en el cuadro de ajustes Properties para cualquier carpeta o proyecto en ProjectWise Explorer El ajuste de Datasource Enable shareable documents debe estar habilitado antes de poder habilitar este ajuste de usuario Por otra parte si el ajuste de usuario Allow user to change document settings est prendido entonces estos ajustes se presentar n al usuario y ste tendr la habilidad de modificarlos PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Utilizar Control de Acceso Ajustes de Usuario Hay un ajuste de usuario llamado Use access control que se puede prender o apagar en el ProjectWise Administrator para controlar si una cuenta de usuario debe o no adherir a los ajustes de seguridad en el ProjectWise DataSource Si se apaga este ajuste entonces el usuario est esencialmente inmune a todos los ajustes de seguridad en ProjectWise sin importar c mo est n definidos y tendr control completo sobre las carpetas y documentos Tom Atkinson Properties B User Credential Expiration Policy Use access control C User can only log in through Web View
24. heredan del DataSource Considerar el siguiente ejemplo PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Se crea un flujo de trabajo llamado Design con tres Etapas In Progress Review y Approved E Xx B 2m gt p z dn Workflows A State name State description in Bentey Offshore Documents da Progress Plant Proposals es Revien Review Services EE Approved Approved Design se Storage areas Og Views Se definieron permisos para las Carpetas y Documentos a nivel del Flujo de Trabajo Design de forma tal que cuando se agregue cada Etapa al Flujo de Trabajo estas heredar n autom ticamente los permisos del Flujo de Trabajo La etapa In Progress no tiene cambio en sus permisos por lo tanto los Documentos y Carpetas en esta Etapa contin an heredando los permisos del Flujo de Trabajo Design In Progress Properties ma Ps Name E Administrators E Civil Account Managers tr EENE e E e Las etapas Review y Approved tiene modificaciones por lo tanto definen permisos espec ficos a Etapa para los Documentos y Carpetas en estas Etapas Review Properties Name Administrators CL Civil Account Managers as Cuando se aplica un Flujo de Trabajo a una carpeta en ProjectWise en este caso la carpeta 60 se puede observar que la seguridad del Documento est controlada por el Flujo de Trabajo PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY
25. ho a los usuarios mas eficientes en el uso de su software para infraestructura Los GreenBooks pueden tener varios formatos desde una Nota T cnica Manual de Instrucciones White Paper hasta Libro en formato completo Todos los GreenBooks se proveen en formato PDF para poder descargarlo e imprimirlo Debido a que sufren actualizaci n constantes con nueva informaci n siempre se debe buscar la ltima revisi n online Los GreenBooks generalmente se publican en modo Draft en su primer revisi n Esto permite un temprano acceso a informaci n potencial Es por esto que los documentos Draft pueden no ser tan pulidos o pueden contener algunos errores que luego se solucionan con las revisiones mas detalladas y pulidas Bentley s Be Communities es el sistema de entrega que permite a cualquier miembro del Be Community descargar y utilizar Mejores Pr cticas en su industria La membrec a en el Be Community es sin costo Para registrarse visite http communities bentley com Para encontrar este GreenBook y otros visite Be Communities y busque GreenBook PROJECTWISE SECURITY SECTION 2 0 ABOUT THE AUTHOR S 2 0 Acerca del los Autor es Tom Atkinson es un Senior Project Manager que ha estado involucrado en Topograf a Agrimensura Ingenier a Civil CADD y Sistemas IT desde 1985 Ha provisto servicios relacionados con MicroStation InRoads InterPlot ProjectWise y una variedad de productos raster para la comunidad de Ingenier a Civil desde 199
26. ica la seguridad de Folder B y se selecciona Apply changes to this folder only PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY En este diagrama tenemos la misma estructura de carpetas mostrada en el Diagrama en la p gina anterior Hemos cambiado la seguridad en la carpeta A gga Folder B para que ahora tenga su propia F Change security seguridad Hemos seleccionado la opci n a Of Folder B Security di Apply changes to this folder only y los Defined resultados se muestran en el diagrama de la izquierda Tomar nota que Folder C retiene su propia seguridad igual que en el ejemplo previo pero Folder D ahora hereda su seguridad de la carpeta Folder B en lugar que de Folder A Esto es porque Folder B est mas cerca de Folder D que de Folder A Si hay otras sub carpetas en el mismo nivel que Folder B seguir n heredando de Folder A Cuando se planifique el modelo de seguridad generalmente es mejor definir permisos de acceso por defecto a las carpetas superiores y aplicar esos ajustes a todas las sub carpetas Luego comenzar al final de la estructura de carpetas para definir permisos de accesos s lo a las carpetas que lo requieren tener en cuenta que todas las sub carpetas ahora heredar n los permisos de acceso desde la carpeta recientemente modificada Qu pasar a si en el ejemplo un Administrador modifica los permisos de acceso a Folder A y selecciona Apply changes to this folder
27. iene No Access Si no El usuario tiene accesos definido para l mismo Si no Si hay Grupos donde se lo menciona Entonces Si cualquiera de esos Grupos tiene No Access Entonces El usuario tiene No Access Si no El usuario tiene los permisos acumulados de todos los grupos donde se lo menciona Entonces Si hay Listas de Usuarios donde se lo menciona Entonces Si cualquiera de esas listas tiene No Access Entonces PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY El usuario tiene No access Sino El usuario tiene los permisos acumulados de todas las Listas de Usuarios donde se lo menciona Si no Si Everyone est incluido en la lista Entonces Si Everyone tiene definido No Access Entonces El usuario tiene No Access Sino El usuario tiene los permisos definidos para Everyone Sino El usuario tiene No Access porque no est incluido en ninguna parte PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Tener en cuenta que cada vez que aparece la expresi n Si no en la l gica se detiene el proceso de permisos de accesos si la condici n anterior es verdadera Esto es lo que define el orden de prioridad en la seguridad de ProjectWise Tambi n si se define Seguridad de Flujo de Trabajo y los permisos de usuario en la Seguridad de Objeto no est n definidos como No Access entonces prevalecer la Seguridad de Flujo de Trabajo y la misma l gica mostrada arriba para Seguridad de Objeto ser ejecutada en el context
28. iptado En la secci n 4 0 se habl de la autorizaci n sobre los objetos Esto se logra utilizando Control de Acceso en varios m todos Esto asume que el usuario ha sido autenticado en el sistema Confidencialidad es el t rmino utilizado para prevenir la divulgaci n de informaci n a individuos o sistemas no autorizados Permitiendo a ProjectWise administrar los datos y teniendo flujos de trabajo que permiten funcionalidad dentro de los environments al mismo tiempo se asegura la seguridad de los datos Se hace esto para mantener la integridad de los datos con conceptos de seguridad en el lugar trabajando dentro de la infraestructura de la red La aplicaci n tiene procesos en el lugar para asegurar la integridad de la seguridad al nivel de aplicaci n del sistema Cuando se habla de utilizar Autenticaci n y Encriptado debemos definir estos t rminos Autenticaci n es el acto de establecer o confirmar que algo como un recurso proceso o persona es aut ntico esto es que las demandas realizadas por o acerca del sujeto son verdaderas La identidad de un usuario de ProjectWise se debe verificar durante el proceso de autenticaci n La Autenticaci n en ProjectWise involucra un proceso de dos pasos ingresar informaci n p blica username y luego ingresar informaci n privada password Cuando vemos la informaci n p blica es en realidad el paso de identificaci n mientras que el ingreso de informaci n privada es el paso de autenticaci n En P
29. ir reportando los mismo resultados vistos en las im genes anterior porque todav a est utilizando la Seguridad de Flujo de Trabajo y los permisos del Flujo de Trabajo Design estas a n definidas para la carpeta 60 a pesar que no esta aplicado Se puede decir que la seguridad de Flujo de Trabajo est definido para la carpeta 608 pero no est aplicada a la misma Cualquier sub carpeta que aplique el flujo de trabajo heredar la seguridad de la carpeta 60 Por lo tanto una carpeta puede ser portadora de Seguridad de Flujo de Trabajo sin que sta la afecte parecido a una persona que puede ser portadora de una enfermedad pero no estar afectada por la misma La carpeta tiene la PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY definici n de Access Control List ACL para le Flujo de Trabajo Etapa a pesar que dicho Flujo de Trabajo no est aplicado a la carpeta el ACL asociado con el Flujo de Trabajo Etapa puede controlar la seguridad de los objetos de las sub carpetas que est n en la misma Etapa PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY La forma de remover la definici n de seguridad en la carpeta 60 es re aplicar el Flujo de Trabajo Design a la carpeta y luego seleccionar Seguridad de Documento y definir Tipo de Seguridad a Workflow Seleccionar la Etapa In Progress porque esta es la etapa que fue modificada Esto se puede verificar seleccionando un grupo y examinanda el campo inherited from y
30. laremos de optimizar en forma segura a ProjectWise dentro de la infraestructura analizando el proceso de trabajar en medio del sistema como un todo Los t rminos que referiremos son Private LAN Intranet Una red que interconecta dispositivo en una misma oficina piso o edificio ProjectWise Application Server y ProjectWise Explorer residir n aqu DMZ Extranet Siglas para Demilitarized Zone una computadora o una peque a red que est entre una red interna confiable LAN y una red externa no confiable como puede ser internet p blico ProjectWise Web Server y ProjectWise Connection Server se pueden encontrar aqu Secure Sockets Layer SSL SSL trabaja utilizando una llave privada para encriptar los datos que se transfieren por una conexi n SSL Protocolo utilizado para obtener informaci n confidencial del usuario como nombre de usuario y password Por convenci n las URLs que requieren una conexi n SSL comienzan con https en lugar de http y Bentley GREENBOOK Sustaining Infrastructure Copyright O 2010 Bentley Systems Incorporated PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Configurando el Setup ProjectWise se puede implementar en muchas formas Puede ser interno a la compa a LAN y aplicar los permisos correctos basados en grupos dentro del dominio Toda la comunicaci n es interna y no se necesita nada externo Tambi n se puede implementar para trabajar con usuarios externos al dominio entonces se debe
31. miten por cualquier librer a de red entre un cliente SQL Server 2000 ProjectWise Application Server y un servidor corriendo SQL Server 2000 El nivel de encriptado 40 bit versus 128 bit depende en el nivel de encriptado soportados por el sistema operativo Windows involucrado depends on the level of encryption supported by the Windows operating system involved as well Para una m xima seguridad se recomienda utilizar Microsoft integrated authentication para la conexi n a las bases de datos C mo trabaja ProjectWise con Active Directory ProjectWise trabaja con un modelo de Active Directory en modos Mixto y Nativo ProjectWise Authentication Server tomar la informaci n de usuarios y grupos de un AD del controlador de Dominio y Bentley GREENBOOK Sustaining Infrastructure Copyright O 2010 Bentley Systems Incorporated PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Una vez en ProjectWise los usuarios se autentican desde el servidor de aplicaciones de ProjectWise al controlador de Dominio en AD ProjectWise guarda mis Passwords en la Base de Datos Para los usuarios Windows de ProjectWise NO se guardan las passwords en la base de datos El ProjectWise Authentication Server trae los nombres de usuarios del dominio dentro de la base de datos donde se guardan en la tabla DS_SID Luego puebla los nombres de usuarios en la tabla dms_user Cuando el usuario se autentica en ProjectWise ProjectWise Application llama al controlado
32. o Lectura sobre el documento A gana el Flujo de Trabajo Ejemplo 3 e La Seguridad del Objeto define No Access sobre el documento A para el Grupo A PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY La Seguridad sobre la Etapa del Flujo de Trabajo define Lectura Escritura sobre documento A para el Grupo A Resultado El Grupo A tendr No Access y no podr ver el documento A gana No Access Ejemplo 4 La Etapa del Flujo de Trabajo define Lectura Escritura sobre el documento A para el Grupo A 6 La Etapa del Flujo de Trabajo define S lo Lectura sobre el documento A para el Grupo B e La Seguridad de Objeto define Lectura Escritura sobre documento A para el Grupo C pero El Grupo C no est listado en el tab de Seguridad del Documento para el Flujo de Trabajo Resultado El Grupo C tendr No Access al documento y ni siquiera lo podr ver Resumen o El ajuste No Access ganar sobre todos los otros ajustes as sea definido en una Etapa del Flujo de Trabajo o directamente en una Carpeta a trav s de la Seguridad de Objeto Cuando est en juego la Seguridad de Flujo de Trabajo s lo aquellos usuarios a los que se les otorga permisos tendr n permiso de acceso todos los otro tendr n No Access Tener en cuenta que un Flujo de Trabajo no necesita tener permisos de acceso para nada es una caracter stica opcional de los Flujos de Trabajo Alguno usuarios aplican Flujos de Trabajo a las carpetas simplemente
33. o de Seguridad de Flujo de Trabajo Los permisos definidos al nivel de Etapa prevalecer n sobres los permisos definidos al nivel de Flujo de Trabajo Asimismo los permisos de Flujo de Trabajo definidos especificamente para una carpeta prevalecer n sobre la herencia de Seguridad de Flujo de Trabajo de cualquier otra carpeta en el DataSource Recordar estas reglas cuando se determinen los derechos de acceso de los usuarios a los documentos e Apagar el Ajuste de Usuario Use Access Control hace de ese individuo un s per usuario que es inmune a los permisos de acceso definidos en ProjectWise e Nila Seguridad de Objeto ni la de Flujo de Trabajo puede otorgar permisos a un usuario que no est n prendidos en Ajustes de Usuario para dicho usuario Ajustes e Dentro de la estructura de carpetas Seguridad de Objeto deber ser lo primero a probar para ver si al usuario se le deneg acceso a trav s del ajuste No Access e Si a un usuario no se le niega expl citamente el acceso a trav s del ajuste No Access y se aplica Seguridad de Flujo de Trabajo entonces el usuario tendr todo permiso que se haya definido en los permisos de flujo de trabajo Y si el usuario no est listado en los permisos de Flujo de Trabajo entonces dicho usuario tendr No Access e Las definiciones de Seguridad toman la siguiente prioridad de m s alta a m s baja Usuario Grupos Listas de Usuario Everyone 4 3 Autenticaci n y Encr
34. o de trabajo Design con su propia lista de acceso Tambi n se tienen 3 etapas 2 de ellas con control de acceso definido y 1 no hereda del flujo de trabajo Luego se tiene una jerarqu a de carpetas con una variedad de modificaciones al control de acceso Nota Se asume que puedan existir otros flujos de trabajo en el datasource pero cuando hablamos acerca de permisos de usuarios a Documentos o Carpetas actualmente en algunas etapas del flujo de trabajo la existencia de otros flujos de trabajo no tienen influencia en los permisos calculados por lo tanto es suficiente evaluar el acceso a un flujo de trabajo por vez ignorando todos los otros flujos de trabajo Nota En este ejemplo se asume que se habla tanto de acceso a Documentos o Carpetas dado que estos sistemas de seguridad son independientes y aplican igualmente a cualquiera de ellos Nota Cada una de las carpetas listadas pueden tener o no tener control de acceso para Seguridad de Objeto o para otros flujos de trabajo y etapas No tienen influencia lo mismo que no existiesen Examinemos algunos casos e Carpeta A Esta carpeta no define ning n control de acceso para este flujo de trabajo por lo tanto los objetos en cualquier etapa del flujo de trabajo heredar n el control de acceso del datasource amplio control de acceso especificado en los niveles de flujo de trabajo y etapas e Carpeta B Esta carpeta tiene control de acceso que define el acceso a los objetos en la e
35. oc E Internal Training Folder Properties D Operations 8 Proced LO Project Managers Mo Statistics Worndlow 4 State Project Folder 5 LE Projects Document Security Audit Trail Q Technical LO Digital InterPlot Security Type Real Workflow 4 Folder LEY GEOPAK LO InRoads Workflow Design 7 MicroStation p OE7 ProjectWise State In Progress a a ai Inherited from Q Properties Teg Name Full control D uy 50 e admin Change permissions ate Y Create ia BENTLEY Audrus Pu Delete DO Attribute Test NS ios 77 DFT Test BENTLEYADwayne M Read DY Don BENTLEY Kevin Live a 7 TB E Civil Account Managers des Read Bentley Civil OSM Civil Project Managers File Write Bentley Comms EF Plant AMs C No access Bentley Geospatial tr Plant Management Bentley Plant nt Bentley Transportation OU Plant PS IP Cuando se modifica la Etapa a Review gue no tiene sus propios permisos de Etapa se vera gue el cuadro de di logo se actualiza para reflejar esto PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY Folder Properties General Statistics Wordlow 4 State Document Security View Audit Trail Security Type Real Workflow 4 Folder Wordlow Design State Review Inherited from Full control admin Change permissions BENTLEY Audrius Pu Delete BENTLEY Dwayne M Read BENTLEY Kevin Live Write Civil Account Manag
36. operativo local se puede tener SSO habilitado y pasar las credenciales del usuario al ProjectWise Explorer y al ProjectWise Web Client Ahora que hemos hablado sobre autenticaci n necesitamos ver encriptado Este es el proceso de transformar informaci n en formato texto com n utilizando un algoritmo o cifrado que lo hace ilegible para todos excepto aquellos que posean conocimientos especiales generalmente referido como llave El resultado del proceso es informaci n encriptada dentro de ProjectWise cuando se transfiere por el cable Para realizar esto se debe ejecutar ProjectWise en modo seguro lo cual se discutir mas adelante en secci n 4 4 Cuando se habla acerca de procesos de Autenticaci n y Encriptado lo hacemos para asegurar un par de cosas en cuanto a administraci n de datos y teniendo en cuenta conceptos de seguridad Confidencialidad cuando se busca confidencialidad es para prevenir la divulgaci n no autorizada intencional o no intencional del contenido de ProjectWise asegurando los archivos y ejecutables que utiliza ProjectWise Aseguramos esto definiendo controles de acceso dentro de ProjectWise que permitir el acceso de ciertos usuarios y grupos de usuarios a ciertas carpetas y documentos como se vio en la secci n anterior Integridad asegura que los datos no podr n ser modificados por usuarios no autorizados dentro de ProjectWise Tambi n aseguramos que no se realicen modificaciones no autorizadas por usuarios autorizados Den
37. para rastrear la etapa de los documentos pero no requieren modificaciones de seguridad Cuando no se definen entradas en el tab seguridad de un flujo de trabajo el flujo de trabajo impactar en los permisos de acceso existente y la Seguridad de Objeto tendr efecto Aplicando Seguridad de Flujo de Trabajo Los Permisos de Acceso se pueden definir cuando se crea un Flujo de Trabajo en ProjectWise Se pueden definir en cada Etapa del Flujo de Trabajo pero tambi n a nivel del Flujo de Trabajo La siguiente imagen muestra que el grupo de Administradores tiene control total para Documentos a nivel de Flujo de Trabajo en el Flujo de Trabajo Design PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY General Folder Security Document Security Agents Inherited from none item own permissions Name EE Civil Account Managers E Civil Project Managers F Plant Management Permissions Full control Change permissions Create Delete Read Write File Read File Write C No access Definir la seguridad a nivel del Flujo de Trabajo puede ser ideal al componer el Flujo de Trabajo porque cada Etapa heredar estos ajustes a medida que se vayan agregando al Flujo de Trabajo La Seguridad para las Etapas se pueden modificar posteriormente y los cambios quedar n para la definici n de la Etapa That is to say that the State will have its own security and will not inherit from the Workflow anymore If a State within
38. r de dominio en tiempo real para autenticar al usuario Por esta raz n no se guardan las cuentas Windows de ProjectWise en la base de datos Las passwords no se guardan en la base de datos S lo en los usuarios l gicos de ProjectWise se guarda MD5 hash de las password para que estas no se puedan recuperar ProjectWise soporta Kerberos No directamente ProjectWise trabajar con un Active Directory de Win2003 utilizando Kerberos Autenticaci n utilizando Kerberos es soportada Si un usuario se loguea desde el cliente Web utilizando su cuenta NT c mo se encarga ProjectWise de la password enviada por el cable Qu protocolo se utiliza Si no se utiliza SSL ProjectWise usa una codificaci n Base64 y la password se codifica utilizando eso Para un m todo mas seguro se recomienda utiliza SSL dentro del entorno Web Si un usuario se logue desde el cliente Web utilizando su cuenta de Windows Single Sign On c mo se encarga ProjectWise de la password enviada por el cable Qu protocolo utiliza Cuando se utilice el cliente Web utilizar protocolo http o https Para asegurar encriptado se recomienda utilizar https con un certificado de seguridad En este tipo de configuraci n toda la informaci n transferida desde el cliente al servidor estar encriptada 44 ProjectWise desde Afuera T rminos Utilizados Resumen de ProjectWise trabajando dentro de la red Listado de los diferentes puertos y avenidas de comunicaci n Hab
39. r los permisos que est n mas cerca del objeto que se est accediendo Los Permisos de Acceso que est n adjuntos a un objeto se refieren com nmente como Access Control List ACL Las Jerarqu as van subiendo hasta encontrar una sola ACL que aplique Cuando se encuentra una ACL s lo se tiene en cuenta dicha ACL para determinar los permisos de acceso En otras palabras ACL s para multiples niveles no se unifican Datasources Environments i Folders y Documents Los permisos de acceso definidos para documentos en el nivel de carpeta o carpeta superior prevalecer n sobre los permisos de acceso definidos a nivel de environment o datasource No Access Si el usuario tiene No Access definido para un objeto carpeta o documento el usuario no podr ver dicho objeto por lo tanto no podr ejercer ning n derecho El permiso No Access toma prioridad sobre todos los otros Hay otro escenario aparte de definir expl citamente No Access que pueden causar que un usuario tenga No Access para un documento Cuando se hayan aplicado permisos de acceso a un objeto y un usuario en particular no est listado en ninguno de los usuarios grupos listas de usuarios o el grupo Everyone definidos en esos permisos entonces el usuario tendr No Access ProjectWise es Muy Restrictivo ProjectWise tiene dos tipos de permisos permisos Allow autorizaci n y permisos Deny negaci n Mientras que los pe
40. resultados aplicar n dependiendo en la opci n seleccionada Veamos el primer escenario donde el usuario selecciona Apply changes to this folder only PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY e A Este diagrama muestra una estructura de carpetas donde la carpeta de arriba Folder A tiene su propia seguridad y todas las su carpetas heredan esta seguridad excepto la carpeta Folder C Si se realiza una modificaci n a la seguridad de Folder A y se selecciona Apply changes to this folder only los nuevos ajustes no se aplicar n a las carpetas que tengan definida su propia seguridad como la carpeta Folder C Sin embargo las otras carpetas Folders B and D heredan la seguridad de la carpeta Folder A por lo tanto la seguridad ser actualizada para reflejar los nuevos ajustes Las carpetas que heredan seguridad heredar n la seguridad de la carpeta mas cercana en la jerarqu a que tenga definida su propia seguridad Veamos un leve variaci n al ejemplo previo Cuando se modifica la seguridad a una sub carpeta Folder B que hereda su seguridad de una carpeta padre y se selecciona Apply changes to this folder only pasa lo siguiente 1 No se afectar n las sub carpetas que tengan su propia seguridad 2 Todas las sub carpetas debajo de la carpeta modificada que heredan su seguridad de una carpeta superior ahora heredar n su seguridad de la carpeta que fue modificada Veamos qu pasa si se modif
41. rmisos Allow tienen cierta granularidad que especifican si un usuario puede Crear Editar y Borrar etc hay un solo permiso Deny que se llama No Access En el caso que un usuario pertenezca a dos grupo que tengan acceso Allow aplicado al mismo documento uno con acceso s lo lectura el otro con acceso lectura escritura el usuario tendr la suma de los permisos Allow que resultar en acceso lectura escritura Si alguno de los grupos especifica No Access el usuario tendr No Access sin importar cu ntos permisos Allow tenga el usuario Seguridad de Flujo de Trabajo vs Seguridad del Objeto La Seguridad de Flujo de Trabajo aplica tanto a carpetas como a documentos y los derechos de acceso se pueden aplicar a nivel de Flujo de Trabajo como a nivel de Etapa dentro de Flujo de Trabajo los permisos de acceso definidos en cualquiera de los niveles se llaman Seguridad de Flujo de Trabajo La seguridad de Flujo de Trabajo prevalecer sobre la Seguridad del Objeto para los objetos en dicho Workflow State a menos que se especifique No Access para el objeto Cuando se defina seguridad de Flujo de Trabajo entonces los permisos de acceso definidos a nivel Etapa prevalecer n sobre los permisos de acceso definidos a nivel Flujo de Trabajo PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY 4 1 Seguridad del Objeto Esta secci n identificar las propiedades de seguridad que aplican a ProjectWise utilizando el m todo
42. rojectWise hay algunas opciones que agilizan este proceso si se est utilizando Active Directory Se puede habilitar Single Sign On SSO Esto se puede usar cuando se utilice ProjectWise Synchronization Service para tomar las cuentas de dominio desde el Active Directory y poblarlas en ProjectWise Una vez que el usuario de dominio est en ProjectWise se puede y Bentley GREENBOOK Sustaining Infrastructure Copyright O 2010 Bentley Systems Incorporated PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY autenticar basado en el username y password que se le asign en el computador local ProjectWise Explorer pasa el username y password al ProjectWise Integration quien a su vez llama al controlador de dominio para asegurar que el username y password son v lidos de ah ingresa a ProjectWise sin necesidad de ingresar username y password Esta es una opci n que se puede definir del lado del servidor en el archivo dmskrnl cfg Ciertas pol ticas o standards pueden requerir que se aplique fuerte autenticaci n que contiene dos m todos Esto tambi n se refiere como autenticaci n de dos factores Para poder realizar este m todo es algo que una persona sabe tiene o es Esto puede ser como que alguien tiene una tarjeta CaC Common Access Card y algo que el usuario sabe como su password Est bien utilizar estos dispositivos para autenticarse al sistema de operaciones local cuando se utiliza con ProjectWise porque una vez logueado en el sistema
43. s y de Referencia y Bentley GREENBOOK Sustaining Infrastructure Copyright O 2010 Bentley Systems Incorporated
44. sfiere por el cable utilizando ProjectWise Qu tipo de comunicaci n segura se realiza cuando se comunica con la base de datos C mo trabaja ProjectWise con Active Directory ProjectWise guarda mis Passwords en la Base de Datos ProjectWise soporta Kerberos 35 35 35 35 35 36 36 Si un usuario se loguea desde el cliente Web utilizando su cuenta NT c mo se encarga ProjectWise de la password enviada por el cable Qu protocolo se utiliza 36 Si un usuario se logue desde el cliente Web utilizando su cuenta de Windows Single Sign On c mo se encarga ProjectWise de la password enviada por el cable Qu protocolo utiliza 4 4 ProjectWise desde Afuera T rminos Utilizados Configurando el Setup Trabajando en la Extranet 36 36 36 37 37 PROJECTWISE SECURITY TABLE OF CONTENTS 4 5 TBD 4 6 TBD 5 0 Materiales Relacionados y de Referencia 38 38 39 PROJECTWISE SECURITY TABLE OF CONTENTS 1 0 Introducci n a GREENBOOK Los GreenBooks son creados por Bentley Professional Services para proveer Mejores Pr cticas ya que se refieren a la utilizaci n de las soluciones de software en el ciclo de vida de la infraestructura Esto no s lo incluye software de Bentley pero otros que se utilizan com nmente en proyectos de infraestructura Las gu as se basan en la documentaci n de mejores pr cticas realizadas por cientos de colegas de Bentley Professional Services alrededor del mundo que han hec
45. ta flujo de trabajo y etapa Sin importar donde se defina la seguridad el m todo es b sicamente el mismo abrir el cuadro de di logos Properties del item y en el tab Folder o Documento Security agregar los usuarios a los cuales se les desea configurar la seguridad La configuraci n excesiva de seguridad puede afectar la performance Mientras que ProjectWise puede manejar configuraciones complejas de seguridad se debe tener en cuenta que cuando haya menos configuraciones de seguridad mejor ser la performance en particular cuando se crean nuevas carpetas o se modifican las configuraciones de seguridad Esta secci n identificar los conceptos de Derechos de Acceso que aplican a ProjectWise para ambos tipos de permisos Seguridad del Objeto y Seguridad del Flujo de Trabajo y tambi n los permisos que se definen en User Settings Estas tres reas de control se deben considerar cuando se determinan los permisos que un individuo tiene sobre un documento en particular Por ejemplo considere el siguiente proceso mental cuando se trate de determinar por qu un usuario no puede borrar un documento en particular e El usuario tiene permisos para borrar documentos dentro de su User Settings e La Seguridad de Objetos de ProjectWise le otorga a este usuario los permisos para borrar e La Seguridad de Flujos de Trabajo de ProjectWise le otorga a este usuario permisos para borrar No es un requerimiento que se definan derechos de acceso
46. tapa Finished por lo tanto los objetos en esta etapa tendr n acceso espec fico y los objetos en otras etapas heredar n el control de acceso del datasource amplio control de acceso especificado en los niveles de flujo de trabajo y etapas e Carpeta C Esta carpeta no tiene definido control de acceso para este flujo de trabajo por lo tanto los objetos en cualquier etapa del flujo de trabajo heredar n el control de acceso Los objetos en la etapa Finished heredar de la carpeta B los objetos en otra etapas del datasource amplio control de acceso e Carpeta D Esta carpeta tiene definido un control de acceso para todas las etapas del flujo de Trabajo Design por lo tanto los objetos en cualquier etapa de este flujo de trabajo obtendr n el mismo acceso de la carpeta D Adem s todas las sub carpetas de Carpeta D heredar n el acceso para los objetos actualmente en cualquier etapa desde Carpeta D C mo se determinan los permisos de acceso Cuando se debe determinar el acceso a objetos espec ficos tanto de Documento como de Carpeta el control de acceso se determina de acuerdo al siguiente algoritmo Acceso a Objetos v a Seguridad de Objeto se calcula examinando la jerarqu a del objeto Si Acceso a Objeto resulta en No Access Entonces El usuario tiene No Access Si no Acceso a Flujo de Trabajo v a Seguridad de Flujo de Trabajo se calcula examinando la jerarqu a del objeto Si Acceso a Flujo de Trabajo s
47. tro de ProjectWise se asegura esto definiendo el acceso correcto a ciertos usuarios o grupos al contenido que necesitan Por ejemplo dando permisos de s lo lectura a ciertos usuarios y de escritura a otros dependiendo en la etapa del flujo de trabajo Disponibilidad asegura el acceso a los datos y los recursos en tiempo y con seguridad dentro de ProjectWise Dentro de ProjectWise dando permisos de acceso a los usuarios para que puedan realizar sus tareas Sin restringir tanto que no puedan acceder al sistema Servidores cluster y recupero por falla para asegurar un tiempo de recuperaci n optimo Preguntas Frecuentes sobre Autenticaci n y Encriptado de ProjectWise Qu tipo de encriptado se utiliza cuando un usuario se loguea a la interface Web sin utilizar SSL Utiliza codificaci n est ndar base64 El nombre del usuario se pasa como texto normal Base64 T picamente ser refiere a Base64 como un esquema de codificaci n y no encriptado Es una codificaci n trivial y no se considera seguro Qu tipo de encriptado se utiliza cuando un usuario se loguea a la interface Web utilizando SSL Utiliza encriptado de 128 bit para el username y passwords que se pasan por el cable La fortaleza de la sesi n SSL entre el navegador y el servidor dependen en la fortaleza de la llave de sesi n que se genera durante la negociaci n de la sesi n Esta es una llave sim trica que se utiliza para encriptar y desencriptar los datos intercambiados entre el nave
48. umento puede tener dos usuarios que pueden ejercer los privilegios de Propiedad Excepto cuando No Access se aplica al objeto para el usuario en particular los Propietarios de un objeto tiene permisos impl citos para modificar dicho objeto Inclusive si al usuario no se le conceden Change Permissions el usuario tendr permisos de modificaci n si es el Propietario Va sheet 16 den General Security Attributes More Attributes File Properties Audit Trail Workspace Owner BENTLEYTom Atkinson Security Type Workflow Document mi Inherited from State Ma m Cuando una carpeta no tiene asignado seguridad por Flujo de Trabajo el propietario de dicha carpeta siempre tiene permisos de Modificaci n sobre dicha carpeta y sus sub carpetas en este caso el propietario puede denegar PROJECTWISE SECURITY SECTION 4 2 WORKFLOW SECURITY acceso a la carpeta inclusive a los administradores Cuando una carpeta tiene seguridad aplicada por Flujo de Trabajo el propietario no tiene mas permisos incondicionales de Modificaci n inclusive puede perder acceso a dicha carpeta si se lo excluye en los ajustes de seguridad del Flujo de Trabajo Reglas de Jerarqu a ProjectWise tiene la habilidad de aplicar seguridad tanto a Carpetas como a Documento en varios niveles de la arquitectura del sistema Datasource Environment Folder y Document En el caso donde se asigna permisos de acceso a m ltiples niveles van a prevalece
49. ve controles de acceso que son independientes del flujo de trabajo Y que e c digo de determinaci n de Seguridad de Flujo de Trabajo s lo ve el control de acceso aplicado a la etapa espec fica del flujo de trabajo en la que se encuentra el documento Security Type Hierarchy Applicable entries Non applicable Folder s 5 workflow state Document N kfl on workflow Workflow Entries for a specific c specific entries Workflow State workflow state and Entries for a different Folder s entries for a specific workflow Entries for Document workflow and a a different workflow lt default gt state aia Pero tambi n hay Ajuste de Usuario c mo entran stos en juego Dadas todas estas reglas ahora podemos ver c mo la Seguridad de ProjectWise determina qu tipo de permisos de acceso se le otorgan a un usuario en particular Entre los ajustes Globales y los ajustes de Carpeta ajustes de Flujo de Trabajo y ajustes de Usuario la nica forma posible de determina esto ser a mirar a la l gica detr s del mismo Tener en cuenta que la l gica puede considerar escenarios que no son considerados mejores pr cticas Por ejemplo la l gica a continuaci n menciona a usuarios individuales identificados en la lista de acceso Muchos administradores consideran como mala pr ctica utilizar individuos en lugar de grupos en el modelo de seguridad actual porque se torna muy dif cil de administrar PROJECTWISE SECURITY SECTION
50. www bentley com PROJECTWISE SECURITY ProjectWise Integration Server Seguridad E Derechos de Acceso E Redes www Bentley com communities Bentley com A 2 en f e y Sustaining Infrastructure PROJECTWISE SECURITY TABLE OF CONTENTS Primera Edici n Mayo 2010 Aplica a ProjectWise V8 XM Edition 8 09 xx xx ProjectWise V81 Edition 8 11 xx xx Aviso Legal La siguiente informaci n contiene extractos datos ejemplos de aplicaciones instalaciones y configuraciones que se consideran precisas al momento de la publicaci n Bentley Professional Services est constantemente actualizando los detalles t cnicos que son sujetos a revisiones Bentley Professional Services se esfuerza en presentar la informaci n en forma precisa pero no garantiza su integridad o validez El material provisto en esta gu a es s lo de consulta y su utilizaci n es completamente voluntaria Bentley Professional Services no da garant as expresas o impl citas en conexi n con esta informaci n Todo uso o aplicaci n de esta informaci n es a riesgo y responsabilidad del usuario Bentley no ser responsable por ninguna p rdida reclamos o da os y perjuicios derivados del uso o aplicaci n de esta informaci n Nota del documento en Espa ol Este documento es una traducci n no oficial del documento de Bentley Systems Inc GreenBook ProjectWise Systems Architecture Se ha intentado realizar una traducci n completa sin modificar quitar ni
Download Pdf Manuals
Related Search